Poniższy artykuł jest odpowiedzią na pytanie, co musi zrobić państwo, zanim wyznaczy pierwszy podmiot krytyczny? Najprostsza odpowiedź brzmi: zanim powstanie lista podmiotów krytycznych, państwo musi zrozumieć, na co jest narażone. Dyrektywa CER nie zaczyna się od obowiązków operatorów. Zaczyna się od obowiązków państwa. Zanim jakikolwiek podmiot zostanie uznany za krytyczny, zanim wyśle się pierwsze powiadomienie, zanim uruchomi się procedurę nadzoru, państwo członkowskie musi wykonać fundamentalną pracę: rzetelnie ocenić ryzyka, na które narażona jest jego infrastruktura krytyczna, i opracować strategię budowania odporności. To nie formalność, to warunek sine qua non skutecznego wdrożenia całego systemu.
Strategia odporności podmiotów krytycznych (art. 4 dyrektywy CER)
Każde państwo członkowskie ma obowiązek przyjąć strategię odporności podmiotów krytycznych. Termin na przyjęcie pierwszej strategii upłynie 17 stycznia 2026 r. Strategia nie jest dokumentem tworzonym od zera, dyrektywa wyraźnie zachęca do oparcia jej na istniejących strategiach krajowych i sektorowych, planach zarządzania kryzysowego i podobnych dokumentach. Chodzi o integrację i spójność, a nie mnożenie biurokracji (art. 4 ust. 1 dyrektywy CER). Strategia musi zawierać co najmniej kilka kluczowych elementów. Po pierwsze, cele strategiczne i priorytety służące zwiększeniu odporności podmiotów krytycznych, z uwzględnieniem transgranicznych i międzysektorowych zależności i współzależności (art. 4 ust. 2 lit. a dyrektywy CER). Po drugie, ramy zarządzania: precyzyjny opis ról i obowiązków poszczególnych organów, podmiotów krytycznych i innych stron zaangażowanych we wdrażanie strategii (art. 4 ust. 2 lit. b dyrektywy CER). Po trzecie, opis środków niezbędnych do zwiększenia ogólnej odporności, w tym oceny ryzyka (art. 4 ust. 2 lit. c dyrektywy CER). Po czwarte, opis procesu identyfikacji podmiotów krytycznych oraz procesu ich wspierania, w tym środków służących współpracy między sektorem publicznym a prywatnym (art. 4 ust. 2 lit. d i e dyrektywy CER). Strategia musi też zawierać ramy polityczne umożliwiające koordynację między organami właściwymi na podstawie dyrektywy CER a organami właściwymi na podstawie dyrektywy NIS2, tak by zapewnić spójność między fizyczną odpornością infrastruktury a jej cyberbezpieczeństwem (art. 4 ust. 2 lit. g dyrektywy CER). Osobno musi zostać opisane wsparcie dla małych i średnich przedsiębiorstw, które mogą zostać zidentyfikowane jako podmioty krytyczne (art. 4 ust. 2 lit. h dyrektywy CER). Strategia podlega aktualizacji co najmniej raz na cztery lata. Każde państwo członkowskie przekazuje ją Komisji Europejskiej w terminie trzech miesięcy od przyjęcia, co pozwala Komisji monitorować stan wdrożenia dyrektywy i identyfikować najlepsze praktyki (art. 4 ust. 3 dyrektywy CER). W Polsce strategia odporności podmiotów krytycznych — nazywana w projekcie ustawy Krajową Strategią Odporności Podmiotów Krytycznych (KSOPK) — zastąpi dotychczasowy Narodowy Program Ochrony Infrastruktury Krytycznej (NPOIK). Zostanie opracowana w ramach systemu zarządzania kryzysowego, którego podstawy wyznacza nowa ustawa o zarządzaniu kryzysowym. Jej kształt będzie odzwierciedlał dotychczasowe doświadczenia Polski w zakresie ochrony infrastruktury krytycznej, a jednocześnie musiał spełniać minimalne wymagania określone w dyrektywie CER.
Krajowa ocena ryzyka (art. 5 dyrektywy CER)
Sercem krajowych ram odporności jest ocena ryzyka przeprowadzana przez państwo członkowskie. To na jej podstawie identyfikowane są podmioty krytyczne, a operatorom przekazywane są informacje niezbędne do przeprowadzenia własnych ocen ryzyka. Bez rzetelnej krajowej oceny ryzyka cały system traci swój fundament. Dyrektywa wymaga przeprowadzenia pierwszej krajowej oceny ryzyka do 17 stycznia 2026 r., a następnie aktualizowana co najmniej co cztery lata lub częściej, gdy zachodzą istotne zmiany (art. 5 ust. 1 dyrektywy CER). Projekt nowelizacji ustawy o zarządzaniu kryzysowym przewiduje krótszy, trzyletni cykl aktualizacji Krajowej Oceny Ryzyka — co wynika z dostosowania krajowych cykli planistycznych do wymogów unijnych i jest rozwiązaniem korzystniejszym niż minimalne wymaganie dyrektywy. Ocena musi uwzględniać wszystkie istotne zagrożenia, naturalne i spowodowane przez człowieka, przypadkowe i celowe, o charakterze krajowym, transgranicznym i międzysektorowym. Dyrektywa wprost wymienia wypadki, klęski żywiołowe, stany zagrożenia zdrowia publicznego takie jak pandemie, zagrożenia hybrydowe oraz przestępstwa terrorystyczne (art. 5 ust. 1 akapit drugi dyrektywy CER). Przeprowadzając krajową ocenę ryzyka, państwo musi wziąć pod uwagę co najmniej cztery kategorie informacji (art. 5 ust. 2 dyrektywy CER). Pierwszą jest ogólna ocena ryzyka przeprowadzona na podstawie unijnego mechanizmu ochrony ludności. Drugą: inne istotne oceny ryzyka sporządzone na podstawie sektorowych aktów prawa unijnego, m.in. w zakresie bezpieczeństwa gazowego, elektroenergetycznego, przeciwpowodziowego czy chemicznego. Trzecią: ryzyka wynikające ze stopnia wzajemnej zależności między sektorami, w tym od podmiotów w innych państwach członkowskich i państwach trzecich. Czwartą: informacje o incydentach zgłoszonych przez podmioty krytyczne. Ten ostatni element jest szczególnie istotny: krajowa ocena ryzyka powinna być żywym dokumentem, karmionym rzeczywistymi danymi o zdarzeniach, które już miały miejsce. Tylko wtedy może skutecznie służyć identyfikacji podmiotów krytycznych i planowaniu działań na rzecz odporności. W terminie trzech miesięcy od przeprowadzenia oceny państwo przekazuje Komisji Europejskiej odpowiednie informacje dotyczące rodzajów stwierdzonych ryzyk oraz wyników oceny w podziale na sektory i podsektory (art. 5 ust. 4 dyrektywy CER). Komisja opracowała dobrowolny formularz sprawozdawczy, który ułatwia porównywanie ocen między państwami, jakkolwiek państwa członkowskie UE nie są zobowiązane z niego skorzystać.
Przekazywanie wyników oceny podmiotom krytycznym (art. 5 ust. 3 dyrektywy CER)
Krajowa ocena ryzyka nie jest dokumentem wyłącznie wewnętrznym. Dyrektywa nakłada na państwa członkowskie obowiązek udostępniania odpowiednich jej elementów podmiotom krytycznym, które zostały przez nie zidentyfikowane (art. 5 ust. 3 dyrektywy CER). Chodzi o to, by operatorzy mieli dostęp do informacji, które pomogą im przeprowadzić własne oceny ryzyka i wdrożyć adekwatne środki odporności. To ważna zasada, odpowiedzialność za bezpieczeństwo infrastruktury krytycznej jest współdzielona między państwem a operatorami. Państwo nie może oczekiwać od podmiotów krytycznych skutecznej odporności, jeśli nie wyposaży ich w informacje o zagrożeniach, które samo zidentyfikowało. Jednocześnie przekazywanie tych informacji musi odbywać się z zachowaniem odpowiednich zasad poufności i ochrony danych wrażliwych.
Wsparcie państwa dla podmiotów krytycznych (art. 10 dyrektywy CER)
Dyrektywa CER nie ogranicza roli państwa do identyfikacji podmiotów i nadzoru nad ich działalnością. Nakłada też pozytywny obowiązek aktywnego wspierania podmiotów krytycznych w budowaniu odporności (art. 10 dyrektywy CER). Wsparcie to może przyjmować różne formy. Państwa członkowskie mogą opracowywać materiały zawierające wytyczne i metodyki, pomagać w organizacji ćwiczeń sprawdzających odporność podmiotów oraz zapewniać doradztwo i szkolenia dla ich personelu (art. 10 ust. 1 dyrektywy CER). Jeśli jest to konieczne i uzasadnione celami interesu publicznego, państwa mogą też przekazywać podmiotom krytycznym zasoby finansowe, z zachowaniem unijnych reguł dotyczących pomocy państwa. Właściwy organ ma też obowiązek aktywnej współpracy z podmiotami krytycznymi i wymiany z nimi informacji oraz dobrych praktyk (art. 10 ust. 2 dyrektywy CER). Dyrektywa zachęca też do dobrowolnej wymiany informacji między samymi podmiotami krytycznymi, z poszanowaniem przepisów o konkurencji i ochronie danych osobowych (art. 10 ust. 3 dyrektywy CER). Na poziomie unijnym Komisja Europejska uzupełnia działania państw członkowskich, opracowując najlepsze praktyki i materiały, organizując transgraniczne szkolenia i ćwiczenia, a także informując państwa o dostępnych instrumentach finansowania na poziomie UE (art. 20 dyrektywy CER).
Koordynacja z NIS2 — cyberbezpieczeństwo i odporność fizyczna jako całość
Jednym z kluczowych wymogów dyrektywy CER jest zapewnienie koordynacji między organami właściwymi na jej podstawie a organami właściwymi na podstawie dyrektywy NIS2. Obie dyrektywy zostały przyjęte tego samego dnia -14 grudnia 2022 r. i tworzą komplementarny system: CER reguluje odporność fizyczną podmiotów krytycznych, NIS2 ich cyberbezpieczeństwo (art. 9 ust. 6 dyrektywy CER). Strategia krajowa musi zawierać ramy polityczne umożliwiające koordynację między tymi dwoma reżimami, m.in. w zakresie wymiany informacji o ryzykach, zagrożeniach i incydentach, zarówno w cyberprzestrzeni, jak i poza nią. Podmioty krytyczne nie mogą być obciążane zbędnymi, nakładającymi się wymogami wynikającymi z obu dyrektyw jednocześnie, stąd wymóg skoordynowanego wdrażania.
Co to oznacza dla Polski?
Polska musiała przyjąć strategię odporności podmiotów krytycznych oraz przeprowadzić pierwszą krajową ocenę ryzyka do 17 stycznia 2026 r. Oba te obowiązki spoczywają na państwie, nie na operatorach i oba będą uregulowane w nowelizacji ustawy o zarządzaniu kryzysowym oraz aktach wykonawczych do niej. Kluczowe znaczenie dla polskich podmiotów ma to, że wyniki krajowej oceny ryzyka bezpośrednio wpłyną na to, które z nich zostaną zidentyfikowane jako krytyczne, oraz jakie konkretne zagrożenia będą musiały uwzględnić w swoich własnych ocenach ryzyka. Śledzenie procesu legislacyjnego i wyników krajowej oceny ryzyka jest zatem w interesie wszystkich potencjalnych podmiotów krytycznych, to dokumenty, które w praktyce wyznaczą zakres i treść ich obowiązków.
Źródło: Dyrektywa CER https://eur-lex.europa.eu/eli/dir/2022/2557/oj/pol